Tomcat 7.0.59 및 Java 8u31이 설치된 Windows 2008 서버가 있으며 SSLv3이 비활성화되었는지 확인하려고 합니다. Java에 대한 변경 로그를 보면 SSL3은 더 이상 지원되지 않으며 Java 제어판에는 고급 보안 설정 옵션에서 이를 활성화하는 확인란도 없습니다. 그래도 나는 sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"server.xml에 HTTP 커넥터를 추가했습니다. POODLE 취약점 스캔을 실행하면 여전히 SSL3을 통해 연결하는 기능이 표시됩니다.
이 상자에서 SSL3를 활성화/지원하는 것이 무엇인지 식별하는 데 도움이 될 수 있는 다른 장소나 도구에 대한 아이디어가 있습니까?
참조용 전체 커넥터 구성은 다음과 같습니다.
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keyAlias="CAS-server"
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
keystoreFile="[filepath]" keystorePass="[password]"/>
서버는 VMWare에서 실행되는 가상 머신이며 CAS(JA-SIG의 Single Sign-On 구현)에만 사용됩니다. 시스템에 설치된 기타 프로그램:
- EMC NetWorker
- 소포스 안티 바이러스 / 자동 업데이트 / 원격 관리 시스템
- 거북이SVN